Положение о порядке организации и проведения работ по защите конфиденциальной информации ЗАО «Ассоциация специалистов информационных систем», страница 5

-  просмотр информации с экранов дисплеев и других средств ее отображения с помощью оптических средств;

-  прослушивание телефонных и радиопереговоров.

5.3.  Перехват информации или воздействие на нее с использованием технических средств может вестись:

-  из-за границы КЗ, из ближайших строений и транспортных средств;

-  из смежных помещений, принадлежащих другим организациям и расположенных в том же здании, что и объект защиты;

-  при  посещении организации посторонними лицами;

-  за счет НСД к информации, циркулирующей в АС, как с помощью технических средств АС, так и через сети.

5.4.  В качестве аппаратуры разведок или воздействия на информацию и технические средства могут использоваться портативные возимые и носимые устройства, размещаемые вблизи объекта защиты либо подключаемые к каналам связи и ТС обработки информации, а также закладочные устройства размещаемые внутри или вне ЗП.

5.5.  Кроме перехвата информации техническими средствами, возможно непреднамеренное попадание защищаемой информации к лицам, не допущенным к ней, но находящимся в пределах КЗ, за счет следующих действий:

-  непреднамеренного прослушивания без использования технических средств конфиденциальных разговоров из-за недостаточной звукоизоляции ограждающих конструкций ЗП и их инженерно-технических систем;

-  некомпетентных или ошибочных действий пользователей или администраторов АС.

6.ФОРМИРОВАНИЕ МОДЕЛИ УГРОЗ И МОДЕЛИ НАРУШИТЕЛЯ

6.1.  Модель угроз формируется в результате выявления и учета факторов, которые воздействуют или могут воздействовать на информацию (угроз безопасности информации) в конкретных условиях.

6.2.  Формирование модели угроз проводятся в соответствии с ГОСТ Р 51275-99 и составляют основу для планирования мероприятий, направленных на защиту информации на ОИ организации.

6.3.  Анализ конкретных условий предполагает:

-  определение условий расположения объекта информатизации относительно границ КЗ;

-  определения порядка доступа персонала и лиц, представителей сторонних организаций, на территорию организации;

-  определение конфигурации и топологии АС и систем связи в целом и их отдельных компонентов, физических, функциональных и технологических связей как внутри этих систем, так и с другими системами различного уровня и назначения;

-  определение технических средств и систем, предполагаемых к использованию при обработке конфиденциальной информации, условий их расположения;

-  определение степени участия персонала организации в обработке (обсуждении, передаче, хранении) информации, характер их взаимодействия между собой.

6.4.  Сформированная модель угроз ресурсам конфиденциального характера определяет модель нарушителя и, как следствие, перечень организационных и технических мероприятий необходимых для обеспечения выполнения действующих норм и требований руководящих документов по защите информации.

6.5.  Уровень технической защиты конфиденциальной информации, а также перечень необходимых мер защиты определяется дифференцировано по результатам обследования объекта информатизации, с учетом сформированной модели угроз и нарушителя, а также соотношения затрат на организацию защиты информации и величины ущерба, который может быть нанесен организации.

6.6.  Обследование с целью формирования модели угроз и модели нарушителя проводится комиссией из числа сотрудников организации, назначаемых приказом  Генерального директора организации. Для проведения обследования также могут привлекаться специализированные организации, имеющие соответствующую лицензию.

7.ПОРЯДОК ДОПУСКА К РАБОТАМ В АС

7.1.  Допуск к работам в АС осуществляется только на основании утвержденной «Матрицы доступа субъектов по отношению к защищаемым ресурсам АС», содержащей перечень всех лиц, допущенных к работам в АС с указанием их полномочий или утвержденного «Списка лиц, допущенных к работам в АС».  

7.2.  Утверждать «Матрицу доступа субъектов по отношению к защищаемым ресурсам АС» или «Список лиц, допущенных к работам в АС» имеют права только должностные лица организации, определенные в «Списке должностных лиц организации, которым предоставлено право допуска к работам в АС, предназначенной(ых) для обработки конфиденциальной информации».